Trojan.vundo.h und backdoor.bot entfernt - aber keine Internetverbindung möglich |
||
---|---|---|
#0
| ||
15.03.2009, 15:27
Member
Beiträge: 3716 |
||
|
||
15.03.2009, 15:34
Member
Themenstarter Beiträge: 11 |
#17
Blacklight hatte auch keine Funde
Festplatten scannen kann ein bisschen dauern, da hab ich nämlich ziemlich viele mit vielen Daten... :-) bis später |
|
|
||
15.03.2009, 15:40
Member
Beiträge: 3716 |
#18
ja, aber wir wollen ja gründlich sein.
|
|
|
||
15.03.2009, 22:05
Member
Themenstarter Beiträge: 11 |
#19
so... war unterwegs, hier jetzt endlich das Ergebnis.
sieht doch gut aus. Gab zwar ein paar Trojaner in Archiven, aber alles halb so wild. Die identifizierten "Spaßprogramme" habe ich selber runtergeladen. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 15. März 2009 17:12 Es wird nach 1297172 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Holger Computername: HK Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:12:17 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 09:13:05 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 09:13:05 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 09:13:05 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 09:52:33 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 13:49:27 ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 16:08:16 ANTIVIR3.VDF : 7.1.2.170 60416 Bytes 13.03.2009 16:07:53 Engineversion : 8.2.0.114 AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 20:19:20 AESCRIPT.DLL : 8.1.1.63 364923 Bytes 13.03.2009 16:07:55 AESCN.DLL : 8.1.1.8 127346 Bytes 06.03.2009 13:28:34 AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 20:46:35 AEPACK.DLL : 8.1.3.10 397686 Bytes 05.03.2009 12:25:36 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 02.03.2009 12:25:35 AEHEUR.DLL : 8.1.0.104 1634679 Bytes 06.03.2009 13:28:34 AEHELP.DLL : 8.1.2.2 119158 Bytes 02.03.2009 12:25:35 AEGEN.DLL : 8.1.1.28 336244 Bytes 13.03.2009 16:07:54 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 16:47:24 AECORE.DLL : 8.1.6.6 176501 Bytes 18.02.2009 11:21:15 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 16:47:23 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 09:13:05 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 09:13:05 AVREP.DLL : 8.0.0.2 98344 Bytes 04.08.2008 09:44:33 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 09:13:05 AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 10:00:00 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 09:13:05 SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 10:00:00 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 09:13:05 NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 10:00:00 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 09:13:03 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 09:13:03 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Festplatten Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\alldiscs.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, F:, G:, I:, J:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Sonntag, 15. März 2009 17:12 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '36416' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'veohwebplayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Opera.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WinRAR.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PSNGive.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PsnLite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cfp.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'MacDrive.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MacDriveService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cmdagent.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '37' Prozesse mit '37' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'I:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'J:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '54' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Workstation> C:\WINDOWS\SysInternals Bluescreen.scr [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/BlueScreen.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3036c1.qua' verschoben! Beginne mit der Suche in 'D:\' <Film Produktion> Beginne mit der Suche in 'E:\' <MyFiles> E:\Dokumente und Einstellungen\Holger\Desktop\destroy DT\buttons.exe desktop.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Button [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a314020.qua' verschoben! E:\Dokumente und Einstellungen\Holger\Desktop\destroy DT\drunk.exe desktop.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Drunken [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a32401d.qua' verschoben! E:\Dokumente und Einstellungen\Holger\Desktop\destroy DT\fdd.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Stressreducer [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a214010.qua' verschoben! E:\Dokumente und Einstellungen\Holger\Desktop\destroy DT\puzzle.exe desktop.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wirrwarr [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a374021.qua' verschoben! E:\Dokumente und Einstellungen\Holger\Desktop\destroy DT\zitter.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a314016.qua' verschoben! E:\emule Daten\Incoming\EvID4226Patch223d-de.zip [0] Archivtyp: ZIP --> EvID4226Patch.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.EvID4226 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0641ef.qua' verschoben! E:\emule Daten\Incoming\CD archives\Soundtrack.-.Halbe.Treppe.-.17.Hippies.-.192.kbit.-.cover.-.jb.ace [0] Archivtyp: ACE --> Soundtrack - Halbe Treppe\11 Die Oros.mp3 [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. E:\emule Daten\Incoming\patchs\Chikan wa Hanzai WinAll + NoDVD crack.DeathMarine.ace [0] Archivtyp: ACE --> WinAll and NoDVD crack\DeathMarine.txt [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. E:\programm setups\Setup_AltoMP3Gold.exe [0] Archivtyp: NSIS --> Settings/altodrm.dll [FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a314d0e.qua' verschoben! E:\programm setups\crackz\All Adobe CS4 Keygens.rar [0] Archivtyp: RAR --> All Adobe CS4 Keygens\Adobe CS4 Master Collection Keygen\adobe-master-cs4-keygen.exe [FUND] Ist das Trojanische Pferd TR/Dldr.BZW [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a294dbe.qua' verschoben! E:\programm setups\crackz\AnyDVD6_1_6_1_PATCH\ADVD6160RES\AnyDVD.v6.x.x.x-RES-patch\anydvd.v6.x.x.x-patch.exe [FUND] Enthält Erkennungsmuster des SPR/Hacktool.79360-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a364dc6.qua' verschoben! E:\programm setups\screen saver\BlueScreen.zip [0] Archivtyp: ZIP --> SysInternals Bluescreen.scr [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/BlueScreen.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a324fff.qua' verschoben! Beginne mit der Suche in 'F:\' <Extra30> Beginne mit der Suche in 'G:\' <Material> Beginne mit der Suche in 'I:\' <System 2> Beginne mit der Suche in 'J:\' <Video Daten> J:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! J:\Temp Musik und Ideen chile 09\audition Setup Files\Adobe.Audition.v3.0.Multilingual.Retail.Incl.Keymaker.READ.NFO-AGAiN.rar [0] Archivtyp: RAR --> Adobe.Audition.v3.0.Multilingual.Retail.Incl.Keymaker.READ.NFO-AGAiN\Keygen.EXE [FUND] Ist das Trojanische Pferd TR/Packed.2537 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2c56b2.qua' verschoben! Ende des Suchlaufs: Sonntag, 15. März 2009 20:28 Benötigte Zeit: 3:16:38 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 15150 Verzeichnisse wurden überprüft 958350 Dateien wurden geprüft 12 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 12 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 958337 Dateien ohne Befall 7972 Archive wurden durchsucht 3 Warnungen 12 Hinweise 36416 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Und hier noch HijackThis-Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:43:50, on 15.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\Programme\Mediafour\MacDrive 7\MacDrive.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Post It Notes Lite\PsnLite.exe C:\PROGRA~1\POSTIT~1\PSNGive.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\WinRAR\WinRAR.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Opera\Opera.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Comodo\COMODO Internet Security\cfp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HJt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [Neuer Wert #1] sndrec32 /play /close /embedding winintro.wav O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [{B179023B-6238-4499-8F26-CD73E9D90E0A}] "C:\Programme\Mediafour\MacDrive 7\MacDrive.exe" O4 - HKLM\..\Run: [MDGetStarted.exe] "C:\Programme\Mediafour\MacDrive 7\MDGetStarted.exe" /auto O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\Comodo\COMODO Internet Security\cfp.exe" -h O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programme\Post It Notes Lite\PsnLite.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{D7D81C75-EB6E-4CC5-8B20-5CA22687ADBC}: NameServer = 192.168.1.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: MacDriveService - Mediafour Corporation - C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6724 bytes Dieser Beitrag wurde am 15.03.2009 um 23:47 Uhr von Ruiner editiert.
|
|
|
||
16.03.2009, 12:56
Member
Beiträge: 3716 |
#20
hallo, wen in deinen cracks und keygens die, übrigens, nicht legal sind! Viren gefunden werden, wird das schon was heißen, Ich würde antivir so eingestellt lassen, aber jokes kannst auf jeden fall rausnehmen ;-)
erstelle mal bitte einen ordner, den du leicht findest, ich möchte das du folgendes prüfst: E:\programm setups\Setup_AltoMP3Gold.exe [0] Archivtyp: NSIS --> Settings/altodrm.dll [FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a314d0e.qua' verschoben! also öffne antivir, suche die betreffende datei in der quarantäne wähle wiederherstellen in, und den von dir erstellten Ordner. gehe nun zu dieser seite: http://www.virustotal.com/en/indexf.html prüfe die Datei und poste das Ergebniss. |
|
|
||
16.03.2009, 14:02
Member
Themenstarter Beiträge: 11 |
#21
Sieht doch gut aus...
[Nachtrag: Huch, da haben sich wohl durch Zeichenfolgen Smileys gebildet (etwa in der Mitte)...] Datei Setup_AltoMP3Gold.exe empfangen 2009.03.16 14:00:06 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.16 - AhnLab-V3 5.0.0.2 2009.03.16 - AntiVir 7.9.0.114 2009.03.16 - Authentium 5.1.0.4 2009.03.15 - Avast 4.8.1335.0 2009.03.16 - AVG 8.0.0.237 2009.03.16 - BitDefender 7.2 2009.03.16 - CAT-QuickHeal 10.00 2009.03.16 - ClamAV 0.94.1 2009.03.16 - Comodo 1059 2009.03.16 - DrWeb 4.44.0.09170 2009.03.16 - eSafe 7.0.17.0 2009.03.15 - eTrust-Vet 31.6.6388 2009.03.09 - F-Prot 4.4.4.56 2009.03.15 - F-Secure 8.0.14470.0 2009.03.16 - Fortinet 3.117.0.0 2009.03.16 - GData 19 2009.03.16 - Ikarus T3.1.1.45.0 2009.03.16 - K7AntiVirus 7.10.671 2009.03.14 - Kaspersky 7.0.0.125 2009.03.16 - McAfee 5554 2009.03.15 - McAfee+Artemis 5554 2009.03.15 - McAfee-GW-Edition 6.7.6 2009.03.16 - Microsoft 1.4405 2009.03.16 - NOD32 3938 2009.03.16 - Norman 6.00.06 2009.03.13 - nProtect 2009.1.8.0 2009.03.16 - Panda 10.0.0.10 2009.03.15 - PCTools 4.4.2.0 2009.03.16 - Prevx1 V2 2009.03.16 - Rising 21.21.02.00 2009.03.16 - Sophos 4.39.0 2009.03.16 - Sunbelt 3.2.1858.2 2009.03.15 - Symantec 1.4.4.12 2009.03.16 - TheHacker 6.3.3.0.283 2009.03.16 - TrendMicro 8.700.0.1004 2009.03.16 - VBA32 3.12.10.1 2009.03.16 - ViRobot 2009.3.16.1650 2009.03.16 - VirusBuster 4.6.5.0 2009.03.15 - weitere Informationen File size: 1566527 bytes MD5...: ba4ddf6689a1b46c27731d3192165304 SHA1..: 8db21096423ed02d853b5cc33658e2300194493e SHA256: b5ba01ac7832e0494f9b774fd91bcdfee6d7dba9a4cb9325ad6b0aa9c07cd59a SHA512: bd348c82002c11a36481949d9ecd0b7bd7666249f87298d71279f7dba50bbd1e 144ff849e436cc2f12eb16e01bc09032f455f0c76046d0784eece32d3273ba69 ssdeep: 24576Uamp+aYAUhRZCe2Q3Dt+Hzo+UJFcuHmRXSIM7zdC25A8MC6kzznSEaq hTCe28Dtqzo2uHmRXNkvMC/v PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x32d9 timedatestamp.....: 0x4502d342 (Sat Sep 09 14:44:18 2006) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5a3c 0x5c00 6.40 6f78fc1de8f5f67eabee63c82d06fe57 .rdata 0x7000 0x10f2 0x1200 5.05 8e200768cddae49a4df8d340f3025521 .data 0x9000 0x1b814 0x400 5.13 709e767046a1d70f97c766d422853f45 .ndata 0x25000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x2e000 0x6dc0 0x6e00 5.73 261bb04d3f13307fe831c2394821914d ( 8 imports ) > KERNEL32.dll: CloseHandle, SetFileTime, CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, CreateFileA, GetFileSize, GetModuleFileNameA, GetTickCount, lstrcmpiA, CopyFileA, ExitProcess, GetCommandLineA, GetWindowsDirectoryA, GetTempPathA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, lstrcmpA, GetEnvironmentVariableA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, SetErrorMode, GetModuleHandleA, LoadLibraryA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetCurrentProcess > USER32.dll: ScreenToClient, GetWindowRect, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, EndDialog, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxA, CharPrevA, DispatchMessageA, PeekMessageA, CreateDialogParamA, DestroyWindow, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, RegisterClassA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, TrackPopupMenu, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow > GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject > SHELL32.dll: SHGetMalloc, SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation > ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA > COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create > ole32.dll: OleInitialize, OleUninitialize, CoCreateInstance > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 0 exports ) packers (Kaspersky): Armadillo |
|
|
||
16.03.2009, 16:02
Member
Beiträge: 3716 |
#22
ja die datei ist ok.
http://v4.windowsupdate.microsoft.com/de/ besuchen, spiele alle wichtigen updates ein. sp3 und ie 7 mach das so oft, bis keine updates mehr angeboten werden, poste erneut ein hijackthis-log. |
|
|
||
hab grad gesehen, blacklight hast du auch als image hochgeladen, wurde da was gefunden?
start ausfüren
combofix /u
enter
nun stell antivir wie folgt ein:
http://board.protecus.de/t23979.htm
zusätzlich rootkitsuche an
update, scanne all deine Festplatten, funde in Quarantäne, log posten + neues hijackthis Log.
Wir sollten dann auch bald fertig sein ;-)